Le programme Bug Bounty du messager national Max, lancé en juillet 2025, a produit des résultats quantifiables. Selon les données de Standoff365, 454 rapports ont été reçus, dont 288 ont été acceptés, identifiant 213 vulnérabilités. Les paiements totaux aux chercheurs dépassent les 21,9 millions de roubles, avec une récompense moyenne proche de 349 mille roubles. Les experts soulignent l'utilité de cette initiative pour renforcer la sécurité de la plateforme.
La prédominance de l'IDOR et l'accès indu 🕵️
La vulnérabilité la plus répétée dans les découvertes fut l'IDOR, ou Insecure Direct Object Reference. Cette faille permet à un utilisateur d'accéder à des objets de données, comme des messages ou des profils, qui ne lui appartiennent pas, simplement en manipulant des identifiants dans la requête. Sa fréquence indique une zone d'amélioration dans les validations d'autorisation du backend. Max participe également à deux autres plateformes de récompenses, élargissant ainsi l'examen de son code.
Les chasseurs de failles et leur nouveau 'travail à distance' 💰
Il semble que trouver des failles dans Max soit devenu une forme de télétravail assez lucrative. Avec des paiements qui pourraient dépasser le salaire moyen dans certaines régions, il n'est pas étonnant que les hackers éthiques examinent chaque recoin de l'app avec plus de dévotion qu'un utilisateur cherchant un autocollant. La prochaine fois qu'un contact verra votre dernier message vu, ce ne sera peut-être pas lui, mais un chercheur en sécurité testant un IDOR. Tout cela pour une récompense.